SCADA漏洞上半年翻番 可能由“踩点”转为发动破坏性攻击

从伊朗的震网到乌克兰的停电,这类针对数据采集和监视控制系统(Supervisory Control And Data Acquisition,以下简称SCADA系统)的威胁,让我们清楚地认识到,其对关键基础设施的危害。

SCADA-5

可以说,世界上各种关键的基础设施部门都有SCADA系统运行,因此对攻击者极具吸引力。攻击者可以使用他们对SCADA系统的访问来收集诸如设施布局、关键阈值或设备设置等信息,以备在以后的攻击中使用,造成大规模破坏,包括中断服务或触发威胁生命的爆炸等恐怖事件。

如今,工厂员工已经不堪重负于现有资产的安全卫生任务,且缺乏足够的宽带可用于协调来自众多不同OEM(原始设备制造商)的安全补丁。

根据跨国企业趋势科技(Trend Micro)最新发布的一份调查报告显示,安全研究人员发现,数据采集与监控系统(SCADA)系统2018年上半年的漏洞几乎是2017年上半年的两倍。

在这样的工业控制系统中发现202个安全漏洞并不一定是坏事,因为这些供应商正在参与漏洞悬赏计划,通过向安全研究人员支付酬金的方式,让这些研究人员帮助他们发现自己软件或硬件中存在的可能被恶意行为者利用的安全漏洞。现在,经由安全研究人员发现并上报这些漏洞,可以帮助供应商在漏洞被滥用前及时完成修复工作,避免形成大规模损害。

目前,趋势科技公司正运行着世界上最大的漏洞悬赏项目之一——“零时差漏洞悬赏计划”(Zero Day Initiative,简称ZDI)。而在其2018年中期安全综述报告中,该公司指出,在过去的四年里,漏洞从披露到公布的平均时间并没有得到改善。虽然有一些供应商能在一周内处理被披露的SCADA系统漏洞,但在2015-2017期间的该类漏洞的平均处理时间大约为150天。

专家还指出,一些规模较小的供应商(比如Cogent Real-Time Systems和Trihedral Engineering)修补漏洞的速度高于平均值,而规模较大的公司(如ABB公司和通用电气)的平均响应时间则超过220天。

说了这么多,那么究竟什么是SCADA系统呢?

所谓SCADA系统,即以计算机为基础的DCS与电力自动化监控系统,通常用于本地或远程控制工业过程,以及监控和处理实时数据。自NIS指令(旨在提高欧盟网络安全性和响应能力)于5月生效以来,SCADA系统的安全性以及工业控制系统的安全性都受到了更严格的审查。

报告进一步指出,在安全研究人员发现的202个SCADA系统安全漏洞中,有超过一半的漏洞存在基于网络的HMI(人机界面)软件Advantech WebAccess中。

该软件是100%基于网络的工业物联网(IIoT)平台,具有用于开发物联网应用的开放接口。它还可以充当从地面设备收集数据并通过MQTT发布/订阅将数据传输到云应用程序的网关。

此处将Advantech单独列出来可能不太公平,因为Advantech公司事实上也参与了一个令人尊敬的漏洞悬赏计划,这表明该公司至少愿意与安全研究人员合作,通过在其系统中寻找漏洞来弥合差距,改进自身产品,为用户提供更强大的安全性和更完善的使用体验。

但不得不说的是,攻击者渗入SCADA系统的方式多种多样,其中之一就是利用HMI(人机界面)中普遍存在的软件漏洞。所谓人机界面(HMI),可以将数据从计算机显示到人,并接受从操作员到机器的命令。通过此接口,操作员可以监视和响应系统上显示的信息。

操作员能够通过HMI控制SCADA系统,尽管人们普遍认为,SCADA的HMI运行在被隔离的受信网络中,但情况并非总是如此,HMI如今俨然已经成为SCADA系统中的主要攻击目标。

趋势科技ZDI小组审查了SCADA HMI当前的安全状态,发现大多数这些漏洞都包含:内存损坏、认证凭证管理、缺少身份验证/授权和不安全的默认值以及代码注入等方面,所有这些都是通过安全开发实践可以预防的。

威胁行为者已经从“纯粹的侦察”行为发生变化

趋势科技“零时差漏洞悬赏计划”(ZDI)已经在2018年的前半年发布了超过600条安全公告。基于这些不断增加的公告,ZDI能够预测威胁行为者在实际攻击中可能会使用的漏洞类型。

在今年的安全公告中,ZDI警告称,SCADA系统今年上半年披露的安全漏洞数量是去年同期的2倍。负责运行这些SCADA环境的IT安全经理必须对这种不断增长的威胁趋势保持警惕,特别需要注意的是,威胁行为者已经从最初的“纯粹性侦察”转变为发动破坏性攻击。

在关键基础设施中运营的企业通常会参与持续的“红蓝对抗(即攻防对抗)”以及漏洞悬赏计划,以便及时发现并阻止系统中存在的安全漏洞。例如,在今年早些时候于伦敦举办的计算机商业论坛会上,意大利公用事业公司Enel的首席信息官Yuri Rassega就曾表示,他的公司每年都会对关键资产进行“大约400次深度漏洞测试”。

一场艰巨的挑战

《2018年SANS工业物联网安全调查报告》描绘了运营技术(OT)领域的安全环境现状。该报告称全球大多数组织正在考虑将其连接设备数量增长10%至25%。这将导致连接到工业物联网(IIoT)设备的系统数量每三到七年翻一番。因此,网络复杂性将增加,对带宽的需求将会增加,对熟练员工的需求也会增加。

安全专家表示,此外,缺乏对开发流程和复杂供应链的控制会加剧终端用户的担忧。管理端点安全更新和补丁将成为另一项艰巨的挑战。工厂员工已经不堪重负现有资产的安全卫生任务,且缺乏足够的宽带可用于协调来自众多不同OEM(原始设备制造商)的安全补丁。同时,很少有工厂拥有实现OEM直接管理所需的安全远程访问能力。

趋势科技(Trend Micro)最新调查报告原文地址:

https://www.zerodayinitiative.com/advisories/upcoming/

上一篇:3种方法保护遗留基础设施安全

下一篇:沙箱、蜜罐和欺骗防御的区别